Écrit par Ruth E. Promislow and Katherine F.M. Rusk

Noms, e-mails, numéros de carte de crédit et adresses personnelles: il y a de fortes chances que votre entreprise collecte des données client avec des informations précieuses pour les pirates sur le marché noir. Un pirate essaiera à un moment donné d’accéder à ces dossiers. Quand ils le font, qui porte la responsabilité de l’attaque? Ce sont les questions que des centaines d’entreprises, y compris Uber, OKCupid, Cisco et Fitbit, se posent probablement après l’annonce du bug « Cloudbleed » broke à la fin du mois dernier.

Au moins 3,400 XNUMX sites Web ont été directement touchés, qui ont tous embauché Cloudflare pour fournir une infrastructure et une sécurité Internet. Bien que le bug Cloudbleed ait été corrigé dans les sept heures suivant la découverte et semble jusqu’à présent être beaucoup moins nocif qu’il n’aurait pu l’être, il soulève la question de savoir qui peut être tenu responsable de la violation. Des questions de cette nature ont également été soulevées en juillet 2016, lorsque Wendy’s a appris que plus d’un millier d’emplacements étaient touchés par une violation de carte de crédit liée à des logiciels malveillants résultant d’un fournisseur de services tiers compromis. En regardant plus loin en arrière, la violation massive de carte de crédit de Target en 2013 a été tracé aux informations d’identification volées à un fournisseur tiers. D’autres exemples notables de violations par le biais de fournisseurs tiers incluent T-Mobile, Lowe’s, Home Depot, Walmart, Costco, Sam’s Club, R.T. Jones Capital, Boston Medical Centre, and J.P. Morgan Chase.

Le coût moyen d’une violation est d’environ 4 millions de dollars américains par incident, selon un rapport de juin 2015 de la division sécurité d’IBM. À plus grande échelle, le coût peut augmenter. Target, par exemple, a estimé que leur violation de données coûtera approximately US $ 252 millions, y compris US $ 10 millions pour régler un recours collectif de consommateur. Le recours à un tiers n’élimine pas non plus la perspective d’une application réglementaire. En 2012, Upromise Inc. settled avec la FTC, car ils avaient embauché un service tiers, mais n’ont pas vérifié que le fournisseur de services a suivi les politiques de confidentialité et de sécurité d’Upromise Inc. Deux ans plus tard, GMR Transcription settled with the FTC for failure to require that the company they hired to transscribe sensitive audio files take reasonable security measures.

Le recours à des fournisseurs tiers pour gérer les informations sur les clients et l’infrastructure Internet n’est pas nouveau. À mesure que la sophistication et la prolifération des cyberattaques augmentent, les entreprises ont augmenté leur utilisation de fournisseurs tiers spécialisés au lieu de gérer les données en interne. Mais cela n’exonère pas l’entreprise de toute responsabilité. Les entreprises devraient tenir compte des questions suivantes lorsqu’elles traitent avec un tiers fournisseur de services :

• Bien que vous puissiez déléguer la gestion des données personnelles à un fournisseur de services tiers, vous ne pouvez pas déléguer la responsabilité de cette tâche. Vous pouvez être ultimement responsable de la manière dont le fournisseur de services tiers a traité les données.
• Quelles mesures avez-vous prises pour vous assurer que le fournisseur de services tiers prend toutes les mesures raisonnables pour gérer les données personnelles de vos clients? La confirmation de votre fournisseur de services tiers qu’il est conforme à l’industrie des cartes de paiement n’est pas nécessairement suffisante.
• Vous êtes-vous convaincu de façon continue que le tiers fournisseur de services continue de prendre toutes ces mesures raisonnables?
• Y a-t-il des dispositions dans votre contrat avec votre fournisseur de services tiers qui limiteront votre capacité à demander des dommages-intérêts contre eux pour ne pas avoir pris de mesures raisonnables pour protéger les données de vos clients?

Pour plus d’informations sur la façon de gérer vos relations avec des tiers, le Bennett Jones L’équipe de cybersécurité comprend un groupe de partenaires et d’associés hautement qualifiés dans le domaine de la cybersécurité.